プラットフォーム管理チートシート

この記事は、推奨されるベストプラクティスについて、アカウント管理者とワークスペース管理者に明確で主張のあるガイダンスを提供することを目的としています。 アカウント管理者またはワークスペース管理者は、Databricks アカウントのコスト、可観測性、データガバナンス、セキュリティを最適化するために、次のプラクティスを実装する必要があります。

セキュリティの詳細なベストプラクティスについては、 PDF「Databricks AWS Security Best Practices and Threat Model」を参照してください。

ベストプラクティス	インパクト	ドキュメント
Unity Catalogを有効化	データガバナンス : Unity Catalog は、 Databricks ワークスペース全体で一元的なアクセス制御、監査、リネージ、およびデータディスカバリー機能を提供します。	Unity Catalog の使用を開始する
使用タグの適用	可観測性 :使用状況を関連するカテゴリに個別にマッピングします。組織のビジネスユニット、特定のプロジェクト、その他のユーザーやグループにタグを割り当てて適用します。	使用状況ダッシュボード
クラスターポリシーの利用	コスト :自動終了(汎用クラスターの場合)、最大クラスターサイズ、およびインスタンスタイプの制限を使用してコストを制御します。 可観測性 : クラスターポリシーで custom_tags を設定して、タグ付けを強制します。 セキュリティ : クラスター アクセス モードを制限して、ユーザーが Unity Catalog対応クラスターを作成してデータのアクセス許可を適用することのみを許可します。	クラスターポリシーの作成と管理 - タグによるクラスターの使用状況の監視
サービスプリンシパルを使用してサードパーティソフトウェアに接続する	セキュリティ : サービスプリンシパルは、個々のユーザーの資格情報ではなく、サードパーティのサービスが直接Databricksに対して認証できるようにするDatabricks ID タイプです。 個々のユーザーの資格情報に問題が発生した場合でも、サードパーティのサービスは中断されません。	サービスプリンシパルの作成と管理
SSOを設定する	セキュリティ : ユーザーがワークスペースにログインするために Eメール を入力する代わりに、ユーザーが ID プロバイダーを介して認証できるように Databricks SSO を設定します。	ワークスペースのSSOを設定する
SCIM 統合を設定する	セキュリティ : Databricks にユーザーを手動で追加する代わりに、ID プロバイダーと統合して、ユーザーのプロビジョニングとプロビジョニング解除を自動化します。 ユーザーが ID プロバイダーから削除されると、Databricks からも自動的に削除されます。	ID プロバイダーからユーザーとグループを同期する
アカウントレベルのグループでアクセス制御を管理する	データガバナンス : アカウントレベルのグループを作成して、ワークスペース、リソース、データへのアクセスを一括制御できます。 これにより、すべてのユーザーにすべてのアクセス権を付与したり、個々のユーザーに特定の権限を付与したりする必要がなくなります。 ID プロバイダーから Databricks グループにグループを同期することもできます。	グループの管理 - リソースへのアクセスを制御する - IdP から Databricks にグループを同期する - データガバナンスガイド
IP ホワイトリストに登録するための IP アクセスを設定する	セキュリティ : IP アクセス リストは、ユーザーがセキュリティで保護されていないネットワーク内の Databricks リソースにアクセスするのを防ぎます。 セキュリティで保護されていないネットワークからクラウドサービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを許可されている場合、企業にセキュリティリスクをもたらす可能性があります アカウントコンソールとワークスペースのIPアクセスリストを必ず設定してください。	ワークスペースのIPアクセスリストの作成 - アカウントコンソールのIPアクセスリストを作成する
顧客管理 エンドポイントを地域エンドポイントで構成VPC	セキュリティ : 顧客管理VPC を使用すると、ネットワーク構成をより詳細に制御して、組織が必要とする可能性のある特定のクラウド セキュリティおよびガバナンス標準に準拠できます。 コスト : AWS サービスへのリージョン VPC エンドポイントは、AWS グローバルエンドポイントと比較して、より直接接続され、コストが削減されます。	顧客管理VPC
Databricks シークレット またはクラウド プロバイダーのシークレット マネージャーを使用する	セキュリティ : Databricks シークレットを使用すると、外部データソースの認証情報を安全に保存できます。 ノートブックに直接認証情報を入力する代わりに、シークレットを参照してデータソースに認証することができます。	Databricks シークレットの管理
パーソナル アクセス トークン (PAT) に有効期限を設定する	セキュリティ : ワークスペース管理者は、ユーザー、グループ、サービスプリンシパルの PAT を管理できます。 PAT の有効期限を設定すると、トークンの紛失や、ワークスペースからのデータ流出につながる可能性のあるトークンの長期保存のリスクが軽減されます。	個人用アクセストークンを管理する
予算アラートを使用して使用状況を監視する	可観測性 :組織にとって重要な予算に基づいて使用状況を監視します。 予算の例としては、プロジェクト、移行、BU、四半期予算または年間予算などがあります。	予算の作成と監視
システムテーブルを使用してアカウントの使用状況を監視する	可観測性 : システムテーブルは、監査ログ、データリネージ、課金利用など、アカウントの運用データの Databricksホスト型分析ストアです。 システムテーブルを使用して、アカウント全体の可観測性を確保できます。	システムテーブルによる使用状況の監視